Accord de protection des données

Le présent document décrit le cadre standard dans lequel Acadewie SASU traite des données à caractère personnel, y compris des données de santé, pour le compte de ses clients professionnels dans le cadre de la solution Pllume.

Il a vocation à compléter le contrat principal, la documentation technique et, le cas échéant, les conditions particulières signées avec le client. En cas de contradiction, les documents contractuels signés entre les parties prévalent.

Pour les données patients et les contenus cliniques traités via la solution, le client agit en principe en qualité de responsable de traitement, ou, le cas échéant, de sous-traitant principal d'un responsable de traitement tiers.

Pllume agit alors comme sous-traitant ou sous-traitant ultérieur au sens de l'article 28 du RGPD, sur la base des instructions documentées du client, afin de fournir les fonctions de transcription, structuration, stockage, restitution et sécurisation prévues au contrat.

Les opérations confiées à Pllume peuvent inclure :

• la mise à disposition de la solution et de ses accès utilisateurs ;
• la transcription et la structuration de comptes rendus cliniques ;
• le stockage, la restitution et l'export des contenus du client ;
• la maintenance, la journalisation technique et la continuité de service ;
• l'assistance au client sur les droits, incidents ou demandes d'audit.

Pllume ne traite les données confiées que pour l'exécution de ces finalités, sauf instruction écrite complémentaire du client ou obligation légale applicable.

• données de compte et d'identification des utilisateurs professionnels ;
• données de facturation et d'abonnement ;
• données techniques de connexion, de sécurité et d'audit ;
• contenus cliniques traités pour le compte du client, y compris transcriptions, synthèses, métadonnées de consultation et contenus validés par le praticien.

Pllume veille à ce que les personnes autorisées à traiter les données soient soumises à des obligations de confidentialité appropriées et n'accèdent aux données que dans la stricte mesure nécessaire à l'exécution de leurs missions.

Si Pllume estime qu'une instruction reçue du client est manifestement contraire au RGPD ou aux règles applicables aux données de santé, Pllume en informe le client avant exécution, dans la limite des informations dont il dispose.

Pllume met en œuvre des mesures techniques et organisationnelles adaptées, notamment :

• séparation des environnements et restriction des accès ;
• chiffrement en transit et protections applicatives au repos ;
• journalisation des accès techniques et événements de sécurité ;
• gestion des habilitations selon le besoin d’en connaître ;
• sauvegardes et procédures de continuité adaptées au périmètre actif ;
• validation humaine systématique des brouillons cliniques générés.

Un résumé public est disponible sur la page Sécurité.

Pllume peut recourir à des sous-traitants ultérieurs pour certaines composantes de la solution, sous réserve d'encadrer ces prestations par des obligations de confidentialité et de sécurité cohérentes avec le présent document.

La liste publique des prestataires activés est tenue à jour sur la page Sous-traitants. Les contrats signés avec les clients peuvent préciser un mécanisme d'information ou d'objection en cas d'évolution substantielle de cette liste.

La cible standard documentée par Pllume est un périmètre clinique opéré en France sur OVHcloud Public Cloud. Tant que la migration n’est pas achevée, des prestataires legacy ou transitoires peuvent rester activés selon l’environnement concerné.

Pllume organise son architecture afin de limiter les traitements cliniques à la France ou, à défaut, à l'Union européenne. Lorsqu'un service implique un accès ou un transfert potentiel hors UE, Pllume s'attache à mettre en place des garanties appropriées, notamment contractuelles, et à en informer le client dans le cadre contractuel applicable.

Pllume assiste raisonnablement le client pour :

• les demandes d’exercice de droits ;
• la préparation d’une analyse d’impact, lorsque nécessaire ;
• la gestion et la notification des violations de données ;
• les demandes d’informations liées à la sécurité et à la sous-traitance.

À l’issue du contrat, Pllume supprime ou restitue les données selon les instructions du client, les paramètres de conservation applicables et les obligations légales de conservation éventuellement opposables à Pllume.

Pllume n’utilise pas par défaut les données patients confiées par ses clients pour des finalités propres d’amélioration produit, de recherche ou de connaissance agrégée.

Toute option future d’anonymisation, d’agrégation ou de programme de connaissance populationnelle devra faire l’objet d’une activation contractuelle distincte, d’une information appropriée et d’une documentation dédiée sur les rôles, les garanties et les limites d’usage.

Pour toute question relative à ce document ou à la protection des données :
contact général : contact@pllume.com
DPO : dpo@pllume.com